Mikrotik neighbor discovery protocol отключить

Обновлено: 07.07.2024

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.

Ограничение удаленных подключений

В текущей конфигурации Mikrotik удаленный доступ предоставлен всем желающим, что негативно сказывается на безопасности. В современном мире смена стандартного порта, на котором работает сервис (например, Winbox) является слабой защитой. Как обезопасить роутер от сканирования и проникновения мы рассмотрим в статье MikroTik настройка firewall.

Чтобы минимально обезопасить маршрутизатор, мы можем прописать IP-адреса, которым разрешено подключение. Для этого откроем:

В открывшемся окне мы видим название сервисов (Name) и номер порта (Port) которое оно использует. Рекомендуем отключить все сервисы, которыми не собираетесь пользоваться.

Двойным нажатием на строчку сервиса Winbox, откроем его настройки и приведем к следующему виду:

Name: Winbox – название сервиса;
Port: 8291 – номер порта, который использует сервис. При желании можем указать свой;
Available From: 192.168.13.0/24 – разрешаем подключение из локальной сети;
1.1.1.1 – вместо этого указываем IP-адрес с которого будем подключаться к оборудованию.

А также рекомендуем изучить статьи:

На этом настройка удаленного доступа Mikrotik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Служба обнаружения соседних маршрутизаторов и совместимого оборудования в RouterOS присутствует давно. К сожалению, над схемой функционирования “Neighbor Discovery” товарищи админы задумываются редко. Там вроде как будто всё просто, но просто не настолько как кажется.

Наглядной иллюстрацией служат неудачные попытки скрыть информацию о своём маршрутизаторе MikroTik, при этом получать инфу о маршрутизаторах соседей внутри broadcast-домена провайдера. Так сказать, подглядывать за соседями по провайдерскому свитчу. Обычно это выглядит как запрет фаерволом отправки широковещательных пакетов объявления службы discovery UDP 255.255.255.255:5678. Вбив запрещающее правило в конфиг фаервола, некоторые считают, что полностью скрыли свой маршрутизатор от видимости соседями. Но это не так.

Давайте разберемся, как работает Neighbor Discovery в MikroTik.
Neighbor Discovery в RouterOS до 6.38 содержит в себе два пути объявления и получения информации работающие на разных уровнях модели OSI: на уровне L4 работает транспорт UDP, на уровне L2 информацию принимает и передает протокол семейства MNDP/VDP/CDP. Полученная из обеих источников информация объединяется и отображается в списке обнаруженных соседей “/ip neighbors”. Вот так выглядит Neighbor Discovery в текущем релизе:

Таким образом, простым запретом отправки UDP-пакетов на порт 5678, информацию о маршрутизаторе скрыть невозможно. Нужно либо полностью отключать службу Neighbors на интерфейсе командой /ip neighbor discovery set ether1-gateway discover=no, либо фильтровать исходящий L2 трафик на предмет MNDP-пакетов с помощью bridge filters. Например, вот так:

Сейчас готовится к релизу новая версия RouterOS 6.38, и в ней наконец-то случилось то, о чём ~~так долго говорили большевики~~ просили админы многих стран. В 6.38 наконец-то добавлена хорошая плюшка в виде поддержки открытого протокола LLDP. Это еще немного расширяет возможности оборудования в части мониторигна состояния L2 соединения. Теперь в списке соседей можно будет видеть любое LLDP-совместимое оборудование, при условии, что на нем тоже включена поддержка объявления LLDP. Например, теперь мой тестовый маршрутизатор отлично «видит» соседний свитч HP v1905-24

Информации пока принимается и передается немного, но для мониторинга наличия/отсутствия видимости по L2 достаточно. Отмечу, что поддержка LLDP не заменила другие протоколы, а добавлена к списку поддерживаемых в MikroTik Discovery и начиная со 6.38 она будет выглядеть вот так:

В официальной WiKi MikroTik уже добавлены сведения об информации принимаемой и передаваемой RouterOS посредством LLDP.

Здравствуйте.
Как сделать так, что бы миротик не выдавал информацию о себе в сеть?
Если запустить Winbox, то он видит микротик в Neighbors, как это отключить в микротике?
"Откройте в программе Winbox меню IP → Neighbors;
Перейдите на вкладку Discovery Interfaces → none;"
Способ описанный выше на работает, так как нет у меня вкладки Discovery Interfaces. Версия ОС 6.46.4 (stable).

Не помогает.
Запускаю 2 Winbox'a одним соединяюсь с микротиком, вторым смотрю Neighbors.
Меняю на то что вы указали, обновляю список во втором винбоксе и по прежнему вижу этот микротик в списке.

Roc27, зачем менять на то что у меня? я показал где настраивается. Выберите none, либо составьте свой interface list с разрешёнными/запрещёнными и выберите его. Галочка рядом инвертирует, т.е. !none - все

1. Постановка задачи.

Задача: отключить протокол MNDP (Neighbor Discovery Protocol), чтобы никто не смог найти маршрутизаторы MikroTik в сети.

2. Описание Neighbor Discovery Protocol.

Чтобы утилита Winbox автоматически находила в сети маршрутизаторы MikroTik, в оборудовании используется специальный протокол MNDP (Neighbor Discovery Protocol), облегчающий конфигурирование и управление сетью. С его помощью роутеры MikroTik получают информацию друг о друге и могут выполнить автоматическую настройку некоторых функций. Однако протокол MNDP передает информацию о версии операционной системы и функции, которые включены в роутере. В целях безопасности, можно отключить этот протокол.

3. Решение задачи.

Обнаружение MikroTik в сети отключается следующим образом:

Откройте в программе Winbox меню IP → Neighbors;
Перейдите на вкладку Discovery Interfaces → none;
Или выберите в списке интерфейс, на котором нужно отключить обнаружение;
Нажмите красный крестик.

4. Оригиналы источников информации.

В этой статье мы рассмотрим настройку удаленного доступа к роутеру Mikrotik через интернет. Для работы системного администратора, который обслуживает сеть с филиалами – это необходимость, которая сэкономит время, облегчит поддержку инфраструктуру локальной сети организации.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка удаленного доступа Mikrotik

Удаленно подключиться к Mikrotik можно несколькими способами, мы разберем настройку двух наиболее часто используемых:

Через фирменную графическую утилиту Winbox;
По протоколу SSH, при помощи сторонних приложений (например, Putty).

Чтобы осуществить подключение через интернет к Mikrotik, удаленный роутер должен иметь “белый” IP-адрес.

Давайте детально разберем в чем отличие этих методов удаленного подключения, на какие порты настроены данные сервисы, их плюсы и минусы.

Mikrotik. Удаленный доступ через Winbox

Чтобы подключиться к Микротику через Winbox, нужно в firewall открыть порт 8291. Для этого запустим фирменную утилиту (которую можно скачать с официального сайта) и перейдем:

Добавим правило, разрешающее подключение извне на 8291 port:

Перейдем на вкладку Action:

Разместим созданное правило выше запрещающего:

Таким образом, подключение к Mikrotik из интернета через Winbox разрешено. Данный способ позволяет удаленно настраивать оборудование в графическом режиме, что упрощает работу начинающим инженерам.

Mikrotik. Удаленный доступ по протоколу SSH

Также удаленное подключение до Mikrotik можно осуществить, используя протокол SSH, настроить и выполнить диагностику устройства из командной строки.

Удаленное подключение по SSH запуститься даже при слабом интернет-канале, когда нет возможности выполнить соединение с маршрутизатором, используя Winbox.

Чтобы настроить Mikrotik для удаленного подключения из интернета по протоколу SSH, нужно открыть 22 port. Делается это аналогичным способом, описанным выше. Поэтому мы просто скопируем ранее созданное правило, изменив порт:

Изменим значение Dst. Port на 22:

Разместим его выше блокирующего правила:

На этом настройка удаленного подключения, используя SSH соединение, закончена. Давайте проверим, для этого скачаем приложение Putty и запустим:

Вводим логин и пароль:

Для маршрутизатора Mikrotik удаленный доступ подключения используя SSH настроен и работает.

Читайте также: